Nuevo malware llamado Coathanger, afecta a dispositivos Fortigate

El Servicio de Seguridad e Inteligencia Militar de los Países Bajos (MIVD), ha descubierto recientemente en una operación IR (Respuesta a Incidentes), una nueva variante de malware llamada Coathanger, un malware tipo RAT utilizado para espiar al Ministerio y Defensa holandés (MOD) en 2023,  que aprovecha una vulnerabilidad N day que afecta a dispositivos Fortigate. 

Esta vulnerabilidad es rastreada con CVE-2022-42475 y fue reportada anteriormente por nuestro equipo de inteligencia en el siguiente boletín: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1479/ 

Características de Coathanger 

• La variante corresponde a un implante de Linux personalizado para FortiOS.
• La atribución corresponde a actores de estado - nación APT, por la alta sofisticación y nivel técnico del malware.
• Su principal objetivo son dispositivos de Borde Fortigate de la industria de la fabricación, consultoría y proveedores de servicios. 
• El malware proporciona un shell inverso BusyBox al que se conecta al C&C periódicamente sobre SSL.
• La persistencia del malware es notable, se recupera tras la inyección de una copia de seguridad en el proceso responsable del reinicio del sistema, incluso en las actualizaciones del Firmware.
• Cubre su existencia mediante la comunicación a través de comandos de CLI de FortiGate y mediante la  carga forzada de preload[.]so.

Impacto

El malware sobrevive a la actualización de firmware, lo que significa que actualizar el firmware no es una solución para eliminar COATHANGER de un dispositivo FortiGate.

Posterior al abuso de CVE-2022-42475, COATHANGER podría utilizarse en combinación con cualquier vulnerabilidad de software presente o futura en los dispositivos FortiGate para lograr el acceso inicial, por lo que los dispositivos que hayan sido comprometidos con dicha vulnerabilidad deben ser formateados y volver a ser las instalaciones y configuraciones correspondientes del sistema operativo. 

Detección COATHANGER 

La detección del malware puede ser posible a través de las reglas YARA dispuestas en el informe del departamento de The Ministry of Defence (MOD) of the Netherlands y a través de los indicadores de compromiso dispuesto en el presente boletín. Además del seguimiento de las siguientes recomendaciones del equipo de IR del MOD:

La presencia de de COATHANGER puede detectarse de tres formas: 

Se recomienda acceder a la CLI mediante la interfaz web en lugar de utilizar el puerto de consola serie.

• Desviación del tiempo de modificación
  • Compruebe si los archivos /bin/smartctl o /data/bin/smartctl mediante el siguiente comandos:
  • fnsysctl ls -la /bin
  • fnsysctl ls -la /data/bin
  • Inspeccione las marcas de tiempo de smartctl y otros archivos en el mismo directorio. Ignore las marcas de tiempo de los enlaces simbólicos, porque se actualizan con más frecuencia.
  • Si smartctl se modificó más tarde que otros archivos que no tienen enlaces simbólicos es probable que el binario smartctl haya sido manipulado. Esto sirve como primer indicio de que el dispositivo puede estar infectado por COATHANGER u otro malware.
• TCP Sockets
  • Desde la CLI mediante la interfaz web ingrese el siguiente comando:
  • diagnose sys tcpsock
  • La versión específica de COATHANGER que describe en el informe  utiliza el nombre de proceso httpsd para ofuscarse. Por lo tanto, cualquier conexión saliente sospechosa a direcciones IP externas desde un proceso llamado httpsd es un fuerte indicador de la presencia de COATHANGER:
    • <device_IP>:<device_port>-><c2_IP>:<c2_port>-
    • >state=established err=0 socktype=1 rma=0 wma=0 
    • fma=0 tma=0 inode=<inode> process=<PID>/httpsd
  • Tenga en cuenta que el nombre del proceso (httpsd) puede variar entre diferentes muestras del malware.
• Ubicación inusual en los mapas de procesos de httpsd
• Todos los procesos activos pueden ser listados usando el siguiente comando:
  • fnsysctl ps
• Ejecutar el siguiente comando devuelve todos los PIDs que son llamados por  httpsd:
  • diagnose sys process pidof httpsd
• Ejecutando el siguiente comando usando los IDs de proceso recuperados, para mostrar la información asociada a los procesos llamados por  httpsd. 
  • diagnose sys volcado de proceso <PID>
• Cuando el proceso tiene un GID establecido en 90, el dispositivo está infectado con COATHANGER.
  • Gid: 90 90 90 90
• Observe que el nombre de la carpeta oculta (.bd[.]key) varía en las distintas muestras. El nombre del proceso (httpsd) puede también variar.
• Cuando el mapa de procesos incluye entradas eliminadas vinculadas a /data2/httpsd o cualquier entrada a /data2/.bd.key/preload[.]so, el dispositivo está infectado con COATHANGER.
• Mapas:
  • 0040.....-0040..... .... 0000.... b3:.. ..... 
  • /data2/httpsd (suprimido)
  • [...]
  • 7f90.....-7f90..... .... 0000.... b3:.. ..... 
  • /data2/.bd.key/preload.so
  • [...]
• Cuando se encuentran entradas como las mostradas anteriormente en el mapa de procesos, se descubre la ruta completa del directorio oculto donde se encuentra COATHANGER. En este caso COATHANGER se encuentra en /data2/.bd[.]key.Tenga en cuenta que esta ubicación está oculta para herramientas como fnsysctl. Por lo tanto, ejecutar fnsysctl ls -la  /data2/.bd[.]key resultará en un mensaje de error indicando 'No such file or directory'.
• Para más detalles referente a las medidas de detección consulte el siguiente enlace:
  • https://www.ncsc.nl/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear 

Atribución 

La atribución no corresponde solo a un actor de amenaza el reciente ataque, sino a un grupo de actores de amenazas cordinados entre si, según el mismo reporte del Ministerio de Defensa Holandés, entre los que se mencionan las APT: 

• Lorenz Ransomware
• UNC757 
• APT31 
• Volt Typhoon. (G1017) 
• APT15

Medidas Mitigatorias

• Instale los parches de seguridad más recientes del proveedor en los dispositivos (periféricos) orientados a Internet en cuanto estén disponibles. 
• Sustituya el software y el hardware que ya no estén soportados por el proveedor.
• Las funciones innecesarias deben deshabilitarse en los dispositivos.
• Restrinja el acceso a Internet desde los dispositivos orientados a Internet deshabilitando los servicios y puertos innecesarios y deshabilite el acceso a la gestión de la red. 
• Supervise los registros de eventos en busca de actividad anormal, como inicios de sesión fuera del horario laboral, conexiones externas inusuales o inesperadas y cambios de configuración no autorizados en el dispositivo.

Apreciación

Hay una diferencia muy marcada entre las vulnerabilidades N-Day y las vulnerabilidades Zero Day.

Las vulnerabilidades Zero Day, son recientes vulnerabilidades descubiertas en los dispositivos afectados para las cuales muchas veces los parches pueden dilatar su tiempo de respuesta por lo que las políticas de seguridad y medidas mitigatorias deben contrarrestar el impacto, sin embargo, las vulnerabilidades N-Day se refieren a vulnerabilidades conocidas para las cuales hay un parche o solución disponible pero que las organizaciones aún no han resuelto en aplicar mediante parches correspondiente.

Es por tanto imperativo mejorar las políticas de administración de parches en los dispositivos que conforman la infraestructura tecnológica de la organizaciones no sólo de los dispositivos de borde como lo es el caso de los dispositivos Fortigate mencionados en este boletín, sino, de todos los dispositivos que de una u otra manera tienen conexión a internet, ya que esta es una brecha que pocos ciberactores deja desapercibida para conseguir el acceso inicial para sus operaciones de afectación a sus objetivos.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos